公司网络安全需求篇1
关键词:湖南烟草;信息系统;安全;总体目标
经过多年的信息化工作,目前湖南省烟草行业已经建立起全省的计算机网络信息系统。全省信息网络系统建设包括各市级分公司局域网和省域网建设。局域网建设方面,全省包括省局(公司)机关、白沙物流中心、市级分公司、县公司都已完成了局域网建设,省域网络的建设也规划完毕开始实施。省公司办公区域白沙物流中心机房通过千兆裸光纤相连,白沙物流以及各个市级分公司通过专线连入电信mStp专网。省公司、白沙物流中心机房和14个市级分公司都有internet接口,并且可以通过10mVpn相连接作为备份链路。市级分公司与其下属的县级分公司之间通过电信mStp专网相连接,同时还有一条2m的aDSL备份线路。省公司及14个市级分公司分别购买了2台iBm小型机,是全省烟草信息系统的核心设备。
一、湖南烟草信息系统安全现状
目前,在进行安全系统建设初期,全省整个烟草行业网络安全体系非常薄弱,基本上没有建立完善的安全防范体系,因此安全问题非常突出。总体情况来看,各个市级分公司仅仅有防火墙,无其他的安全防护设施。省公司和各个分公司在信息安全方面均各自为政,没有采取统一的有效的安全策略和防护措施。还有,虽然省公司、部分分公司采用了病毒防杀软件,但是没有覆盖全网的网络防毒系统,缺乏统一的管理和控制,因此病毒问题显得尤其突出。下面列出了已有的安全设施和措施:
(一)物理与链路层安全设施
在湖南烟草信息系统系统建设中,现有的物理与链路层安全设施如下:
1、物理安全方面:
通过对省中心机房和各个市级分公司机房的改造,增加了包括门禁、录像监控等等安全设备。另外加强了多种安全防护措施,包括:防火、防水、防静电、电源安全等等新的设备,使全省网络的物理安全性基本满足了现阶段的需求。
2、数据传输链路安全方面:
目前的信息系统建设过程中,采用了CiscopiX防火墙建立Vpn链路,而且在网络主干路上采用mpLSVpn技术,使得:信息在传输过程中保持保密性、完整性、可靠性,防篡改,采用ipSeC加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
省域网(mStp)的链路为主链路,通过internet的Vpn链路为备份链路,在主链路发生故障的情况下,及时采用备份链路,最大程度的保障网络的可用性,保证相关信息的传输不受到人为、物理的其它因素的影响。
结合湖南烟草的实际情况来看,从物理与数据传输链路层的安全设施可以看出,当前信息系统的建设主要侧重于保障网络系统的可用性,在此基础上综合考虑完整性以及保密性的要求。在今后的安全系统建设中,也要遵循这个原则。
(二)网络层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
优化整个网络的安全
骨干网络采用mpLSVpn技术,不同地市的不同业务网络,统一地市的不同业务网络,不同地市的统一业务网络抖逻辑隔离。不同的业务网络可以独立管理QoS。省中心和各个市级节点可以相互访问,但是市级节点不可以相互之间访问。
防火墙
防火墙是用于隔离信任网络与不信任网络的有效工具,在省公司、白沙物流信息中心、各个市级分公司网络的internet出口处部署piX防火墙,可以隔离内外网,设置nat等等安全策略,不仅仅节省了公网ip地址,而且隐藏了内网的网络结构,屏蔽了大多数的网络攻击,免收外来侵扰。
Vpn
通过piX防火墙通过internet建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
网络安全监管与故障处理
目前已经采购了多种网络管理软件,包括Ciscoworks管理软件(设备管理模块、Vpn管理模块、无线网络管理模块),可以管理所有的Cisco设备。aCS安全认证管理软件,用于建立和管理全网的身份认证系统。Sniffer软件,用于监控网络流量,发现、分析、排除各种网络故障。还有iBm的tivolienterpriseConsole管理管理软件,带有tivolinetview模块,可以检查并长期监控多种网络设施的运行状态。
通过这些工具建立网络管理系统,实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理,及时发现网络故障情况,并采取相应的响应报警机制,马上通知管理人员进行处理,尽量保障网络的可用性。
(三)系统层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
主机安全监管
通过iBm的管理软件tivolimonitor,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
系统冗余和备份
通过对关键的主机应用系统建立相应的系统冗余与备份措施--服务器双机热备等措施,最大程度保障主机系统的可用性,最大程度的保障烟草业务的连续性。
(四)应用层安全设施
在湖南烟草安全系统建设过程中,应用层的安全已经包括:
建立了全省数据备份中心,所有的省、市各级公司的业务数据每日备份到了省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
通过tivolimonitoringforDatabase实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过tivolimonitoringforwebinfrastructure,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
目前湖南烟草的信息安全管理的技术平台和管理制度,都已经具备了简单的雏形,但是还不能满足现有的网络安全需求和今后的进一步发展,还有待于进一步的加强。虽然湖南省烟草信息安全系统的建设已经开始起步,也具备了一定的安全防护能力,但是整体的安全防护还有很多的需求没有得到满足,尤其是网络层的防护,还有很多的安全设施没有到位,远远没有达到国家烟草总局在《烟草行业计算机网络和信息安全技术与管理规范》所提出的"纵深防御体系"和"动态防护"的要求。
二、湖南烟草信息安全建设总体目标
针对湖南烟草的现状以及安全需求分析,提出在湖南烟草信息安全系统建设的总体目标描述如下:
基于安全基础设施、以安全策略为指导,通过统一的安全管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,构建全面、完整、可靠、高效的省行业信息安全体系构架。从而在烟草行业信息化整体发展的基础上,极大地提高湖南省烟草行业的整体安全等级,为保障烟草行业的健康发展提供坚实的信息安全保障体系。
可以分解为以下四个具体目标:
网络和系统实体的可用性以及抗攻击性;
信息的安全性、保密性和可靠性;
系统安全的可管理性;
整体系统运行状态的可控性;
安全需求是建立良好的安全体系的前提条件,我们从湖南烟草行业网络系统得实际情况出发,根据对用户网络系统脆弱性以及安全威胁的风险评估,结合湖南烟草安全系统的总体建设目标,我们把整体的安全需求根据不同的侧重点,从信息安全管理体系、物理与链路层安全、网络层安全、系统层安全、应用层安全等五个方面进行充分的考虑。安全需求涵盖了整个信息系统的每个层次,具有一定的纵深性和涵盖面,其中安全管理部分我们认为是非中重要的一项,因为完善的安全防御体系是以各类安全技术的应用加以安全管理贯穿于始终,才能实现安全系统的良好运作发挥其性能。信息安全保障体系各层次的安全需求目标具体描述如下:
(一)物理与链路层安全需求目标分析
在湖南烟草安全系统建设中,物理与链路层安全需求阐述如下:
考虑到大量内部的数据跨过广域网(如internet、电信省域网等)进行传输,可能被它人窃听和破坏,因此对数据的传输的安全具有以下需求:
信息在传输过程中保持保密性、完整性、可靠性,防篡改,拟采用相关加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
关键信息传输的链路必须通过备份链路等方式,保证相关信息的传输不受到人为、物理的其它因素的影响。
对系统中的关键应用以及关键的网络连接建立相应的安全机制,如建立备份通道,以便在主通道发生故障的情况,及时采用备份通道,最大程度的保障网络的可用性。
(二)网络层安全需求目标分析
网络层是网络入侵者进攻信息系统的渠道和通路,因此许多安全问题都集中体现在网络的安全方面。在湖南烟草网络平台安全体系中,安全需求主要包括以下内容:
网络安全优化
主要是对系统中不同网段的、不同功能要求以及不同的安全等级的区域的划分,同时根据不同的安全级别,针对性的制定各区域之间的访问控制规则。主要是对现有的网络设备加强安全策略配置如访问控制列表,进行严格的访问控制,并对核心网络设备进行相应的安全设置。
防火墙
防火墙是网络层安全领域最成熟、使用最广泛的技术,用于隔离信任网络与不信任网络的有效工具。需要在全省各网络中部署防火墙隔离内外网,设置各级安全屏蔽,将全网在网络上分割为相对独立的子网,免收外来袭击。
网络入侵防护与相应的安全审计系统
建立全网网络入侵防护检测与相应的安全审计系统,及时监测、拦截并记录来自外部和网络其它部分的黑客入侵行为,拒绝服务攻击,违规操作等,并能对相关入侵行为进行多个日志系统的关联分析,排除虚假的报警信息、过滤掉低风险事件,得到最准确的关键安全事件信息。
Vpn
建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
(三)系统层安全需求目标分析
主机服务器系统是整个应用业务的基础平台设施,因此其安全性会影响到整个应用业务系统能否正常的运营。在湖南烟草安全系统中,系统平台的安全建设主要有:
主机系统漏洞扫描与加固
采用安全扫描技术,对烟草系统中关键的主机和服务器进行定期漏洞扫描与评估,针对相关的系统漏洞,自动提出修补的措施,并定期进行相关操作系统的裁剪、修补和加固的工作。
操作系统安全
通过使用主机访问控制等技术措施及手段,对系统中的主机与服务器系统严格划分、管理、控制用户的权限和行为,增强操作系统的健壮性以及安全性,使操作系统达到更高层次的安全级别。
网络病毒防杀系统
建立全网的病毒检测与防范系统,及时检测和控制各种文件、宏和其它网络病毒的传播和破坏,具有集中统一的管理界面,系统具有自动升级,自动数据更新,可管理性等特性。
主机安全监管
通过网络安全综合管理,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
(四)应用层安全需求目标分析
应用平台安全是系统最终保障的目标,数据的保密性、高可靠性和防篡改等特性,以及应用系统对于系统功能和相关数据的严格控制,将成为整个应用和数据安全体系的主要需求。在湖南烟草安全系统建设过程中,应用安全需求具体包括:
建立pKi/Ca体系,为应用安全提供认证、加密、数字签名、数据完整性等功能和服务。
有效地建立信息资源的标记、加密存储和保管机制。考虑应用层对传输数据进行加密。
建立全省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过网络安全综合管理系统,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
从上述湖南烟草安全系统的建设需求分析中可以看出,整个系统的建需要包含从安全管理体系、物理与链路安全、网络安全、系统安全以及应用安全等五个方面的要求,结合了从管理到技术的各个层次。根据湖南烟草计算机网络系统的实际情况,现阶段的建设重点是解决网络安全和网络的高可用性,解决网络系统在信道传输、访问控制、运行保障以及与外界的网络的互连接口等方面的安全问题。最终按照国家烟草总局的相应安全规范,建设一个集策略、防护、检测、反应为一体的,基于国际先进的p2DR(策略/police,防护/protection,检测/Detection,反应/Response)模型的、动态适应的计算机网络安全防护体系。
参考文献:
[1]李红等.管理信息系统开发与应用[m].电子工业出版社出版社.2003年:8页
公司网络安全需求篇2
2006年以来,Juniper的m系列和t系列路由平台入选中国下一代互联网(CnGi)示范工程的核心设备。中国电信也选择了Juniper网络公司的m和t系列路由平台以支持更多的网络边缘设备和应用,扩大了其中国宽带互联网下一代承载网(Cn2)的核心容量。此外,中国电信的全资子公司上海电信也采用Juniper网络公司t系列核心路由平台扩充其核心ip网络。
2006年Juniper推出的系列产品包括:安全服务网关(SSG)平台-用于地区和分支办事处部署的最佳解决方案;用于加速广域网应用交付的wX集中管理系统;满足对可视性和报告的要求,以及业内特征最丰富、可扩展性最强的多业务边缘路由平台m120。
对于Juniper网络公司来说,教育市场越来越大,教育用户对于最先进技术的测试及性能的完善非常重要,是客户也是合作伙伴。2006年10月,中国下一代教育和科研计算机网网络信息中心(CeRniC)在全球最大的研究及教育主干网络之一的下一代中国教育和科研网络(CeRnet2)25个核心节点中部署了Junipert系列核心路由器,为Juniper提供了一个开发、测试下一代应用的平台。
近两年来,Juniper开始着手安全化的开放式接入网络,大学便是其中之一。开放式接入网络的问题需要很快解决!越来越多的业务将基于校园网络办理,这很便捷,可也很危险。校园网络接入需要安全化!以下为Juniper几个成功的教育合作案例,希望对读者朋友有所借鉴。
教育合作案例
一、中国教育和科研计算机网核心网络部署Juniper网络公司产品
2006年10月31日,北京-Juniper网络公司(naSDaQ:npR)宣布,中国教育和科研计算机网网络信息中心(CeRniC)已经在其下一代中国教育和科研网络(CeRnet2)中部署了该公司t系列核心路由平台。CeRnet2是遍及全国的中国下一代互联网(CnGi)基础设施的一部分,连接中国地区超过20个城市和200所大学。该网络通过t系列平一无二的可靠性、可扩展性和性能以支持世界上最大的纯ipv6网络之一。
“CeRnet2是CnGi网络的关键部分之一,也是目前ipv6最大的应用之一。”CeRniC主任吴建平教授指出,“由于该网络平台要求有最好的性能、安全和可靠性,我们选择了Juniper公司的t640。它是经过业界验证的多兆可扩展平台,在性能和可靠性测试中均胜过其它产品,并提供非常丰富的ipv6特色配置。”
Juniper网络公司的t系列自2002年4月上市以来,已经成为业界最值得信赖的核心路由平台,在全球的客户网络中已经部署了2000多台。t系列使用功能丰富、稳定性高、弹性强的JUnoS操作系统。该操作系统已经在提供ipv6功能的产品中运行了3年多时间。除了超强的容错性,t系列还具备Juniper网络公司的多机箱tX矩阵技术,使服务提供商可以扩展到多兆级,而无需承担由未经验证的新技术所带来的风险。
“t系列平台已经在中国地区多个最重要的技术领先的通信项目中部署,这显示出中国对安全有保障的网络解决方案的需求。”Juniper网络大中国区副总裁于肇烈先生表示,“ipv6恰好与Juniper公司的‘灵活、开放和用户可定制的下一代网络’的愿景完美地结合在一起。看到像CeRniC这样的机构在这些技术部署方面所树立的领先榜样,我们对此感到非常振奋。”
二、斯坦福大学教育学院使用Juniper网络公司安全解决方案
加利福尼亚州萨尼维尔市,2004年6月7日,全球领先的联网解决方案和安全性解决方案供应商Juniper网络公司宣布,斯坦福大学已部署了Juniper网络公司安全产品,为其教育学院提供网络防火墙保护。
作为一家教育机构,斯坦福像其他许多大学一样,运行着提供“开放社区”的网络,以便实现轻松的信息访问和交换。然而,随着内外部攻击的数量和复杂性日益增加,斯坦福意识到了在保护学生和教职工数据等关键资源的同时仍允许访问适当资源非常重要。为了满足这个要求,同时保持网络的可靠性和性能,斯坦福大学教育学院与系统集成商Corsanetworks建立了合作关系,并决定使用Juniper网络公司netScreen集成防火墙和虚拟专网(Vpn)系统。
斯坦福大学教育学院首席技术官paulKim博士说:“斯坦福需要可以提供安全功能、可扩展性、吞吐量和冗余的防火墙解决方案。我们希望与使用Juniper网络公司安全产品的其他斯坦福学院共享最佳方法。”
斯坦福教育学院以高可用性(Ha)模式部署了两个Juniper网络公司netScreen-500系统,系统可提供集成防火墙和Vpn功能,具备700mbps的防火墙性能和250mbps的3DeSipSecVpn性能。Juniper网络公司netScreen-500设备安装在教育学院的核心网络中,以保护课程管理系统,包括电子邮件、成绩、课程表及教职工数据等。
三、Juniper帮助新西兰的研究和教育机构提高工作能力
加利福尼亚州萨尼维尔市,2006年5月10日,Juniper网络公司宣布,新西兰研究与教育高级网络委员会(ReannZ)已经选择通过telstraClear来构建高级研究网络。telstraClear现正使用Juniper网络公司m系列路由产品来创建高级研究网络平台。全新的基础设施将为研究与教育社区提供可快速传输的兆兆字节数据网络,允许他们接入全世界的计算和数据资源,并允许研究人员和教育届的用户更高效地共享资源和科研成果。Juniper路由平台将提供可靠性、可扩展性和高级的ipv6及组播功能,为这个先进的研究和教育网络提供支持。
ReannZ有限公司项目实施经理CharlesJarvie说:“在许多研究领域,大容量通信基础设施的可用性都是影响研究进展速度的决定因素。高级研究网络设计用于为国内外的研究与教育用户之间提供超高速连接,允许他们共享资源并交换数据。这个网络优化用于满足学术和研究团体的特殊需求,包括访问计算密集型的建模工具等,将帮助我们大幅度提高大型数据集的收集和分析能力。”
这个由telstraClear部署并管理的全新的高级网络,将以10Gbps的速度连接新西兰的大多数大学校园,并将传输下一代ipv6流量,包括组播数据流。
telstraClear首席运营官LuigiSorbello说:“Juniper网络公司产品是我们自己网络的核心组件,提供无与伦比的功能和可靠性,满足研究与教育部署中的主要要求。作为高质量的旗舰网络,ReannZ与telstraClear需要同等级别的性能及可靠性。因此,我们很快便做出决定,与值得信赖的合作伙伴Juniper网络公司合作,一起为ReannZ项目提供路由组件。”
Juniper网络公司m系列多业务路由平台采用高性能架构和公认的运营商级操作系统JUnoS,可确保为话音和视频等延迟敏感型应用以及关键任务应用提供业界领先的性能支持。m系列平台已在全球最高级的生产环境以及研究和教育网络中得到严格验证,能够满足苛刻的网络应用可靠性、可扩展性和性能要求。
公司网络安全需求篇3
一、网络管理中发现的问题
大港石化公司的网络资源包括路由器、交换机、防火墙等网络设备。应用系统包括meS系统、eRp系统、oa系统、邮箱系统等,各应用系统包含了大量的企业内部信息。由于网络信息规模比较大,在近些年的网络管理中发现了一些问题,不利于网络的平稳运行。
大港石化公司的网络分为内网和外网两个部分,不仅仅需要防止病毒的入侵,而且还要防止非法外联的入侵以保证内网信息的安全,这样对于网络安全的防护任务是比较大的。常见的网络安全问题有:一是杀毒软件安装不符合要求导致病毒、木马的感染入侵;二是操作系统存在漏洞,没有及时打上补丁;三是电脑黑客的攻击;四是操作使用人员水平有限,安装简易的盗版系统,存在弱口令。
大港石化公司采用的是静态ip地址分派的方式。网络信息化的日益发达和各种办公系统的上线使日常的办公越来越离不开电脑网络,导致新增大量的ip地址。ip地址的紧张导致ip地址出现冲突,严重影响了办公的效率。由于ip地址的不记名制,出现电脑感染病毒、网络审计等不能进行有效的定位追踪。
二、现行网络精细化管理的方法
第一,采用三层网络结构。大港石化公司网络采取核心层——汇聚层——接入层三层网络结构,将复杂的网络分成三个层次。采用双机冗余热备的核心层交换机和上层高速网络进行交换,利用汇聚层交换机以减轻核心交换机的负荷压力,最后通过接入层交换机向公司网络提供数据服务。
第二,内网和外网链路分开。大港石化公司内网和外网分走不同的链路。中石油内部各种办公软件的使用需要内网提供数据,需要外联internet网络则需要外网提供数据。外网链路出现意外不影响内网使用,而且内网采用了双链路,保障了正常办公不受影响。
第三,办公网和生产网的隔离。采用网闸技术,将办公网和生产网进行物理隔离,可以有效防止办公网对生产网发动攻击的可能性,保障了生产网络的安全,确保生产安全平稳运行。
第四,采用VLan技术。VLan即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。利用VLan技术,可以将不同子网中的用户进行逻辑分段处理,把不同地点、不同网络、不同用户组合在一起,置于同一个广播域中形成一个虚拟的网络环境。
第五,采用Vpn技术。Vpn即虚拟专用网络,是利用隧道技术和加密技术在公用网络中建立一个临时的、安全的连接。通过Vpn技术,用户不需要装备专用的设备就可以安全地对企业内部专用网络进行远程访问。
第六,桌面安全管理系统的使用。2011年5月,中石油桌面安全管理系统正式上线。系统采用了赛门铁克公司的Sep11杀毒软件、enforce6100准入设备和北信源公司的VRV内网安全管理及补丁分发系统。
公司内部所有入网电脑必须按照中石油总部要求部署赛门铁克公司终端安全防护软件Sep11(Symantecendpointprotection11),杀毒软件病毒库可以自动更新,有效的抵御病毒、木马、蠕虫和间谍软件。同时在网络出口处部署赛门铁克公司网络准入控制设备enforcer6100,没有安装Sep11杀毒软件的电脑不能通过enforcer6100准入要求,不能对公司网络进行访问。通过准入控制的方式可以防止员工和外来访客接入公司网络带来的安全隐患。公司网络管理员登录策略管理服务器(Symantecendpointprotectionmanager)对客户端制定策略并定期输出风险报告,对公司网络进行管理。
图1Symantec策略管理服务器主页面
公司内所有入网电脑注册了北信源终端安全管理产品VRVeDp(enterprisedeskplanning),通过实名制的注册建立起网络资源信息管理库。公司网络管理员通过web方式登录管理平台对整个系统进行应用策略配置,管理网络。大港石化公司还采用了Beta网络管理系统,可以通过ip地址追踪定位到终端电脑上层交换机的具体端口。在实名制管理信息库的基础上,网络管理员配合Beta系统对ip资源进行分配管理。
北信源VRV管理平台上可以进行内部网络连接阻断。一旦发现终端电脑感染病毒,可以第一时间追踪到具体使用人及其所在的办公区域。网络管理员通过VRV管理平台对其电脑进行关闭,同时利用Beta系统查找到其所在的交换机端口并关闭,避免病毒的进一步扩散。
北信源VRV系统具有查找系统漏洞并自动分发补丁的功能,有效的避免了病毒、木马利用系统漏洞对电脑进行入侵,保证了网络的安全。
网络管理员在北信源VRV管理平台上可以将静态ip同maC地址绑定,用户不能私自更改ip地址,有效地避免了ip地址冲突。
第七,规范的管理。在每个车间选派一名信息员,协助公司网络管理员进行管理,并定期对信息员进行网络知识培训,提升公司整体管理水平。所有电脑按规定使用正版操作系统,拒绝弱口令等安全措施,保证公司网络安全。
第八,物理安全。大港石化公司投入建设了一座绿色节能环保机房。机房在节能的同时有效避免了水、火、地震等自然灾害。机房采用了门禁技术,避免非技术人员对机房设备的损坏,从基本上保证了公司网络安全。
公司网络安全需求篇4
关键词:多协议标签交换;虚拟专用网;网络改造;安全隔离
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)27-6643-02
随着公司的不断发展,DCn网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、oa等及融合后3G网管系统等,有些应用系统对安全性要求较高比如oa和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次mpLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCn网的服务质量。由一张实体物理网实现虚拟多业务网,采用mpLSVpn隔离各类业务系统,骨干以现有DCn骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCn网络中的终端与主机须划入至各自所属的mpLSVpn域中,实现各个Vpn域之间的通信隔离,同时在各个Vpn间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同Vpn域的通信数据的有效安全控制。
1mpLSVpn技术简介
mpLSVpn是由若干不同的site组成的集合,一个site可以属于不同的Vpn,属于同一Vpn的site具有ip连通性,不同Vpn间可以有控制地实现互访与隔离。
mpLSVpn网络主要由Ce、pe和p等3部分组成:Ce(CustomedgeRouter,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的Ce直接相连,负责Vpn业务接入,处理Vpn-ipv4路由,是mpLS三层Vpn的主要实现者:p(providerRouter,骨干网核心路由器)负责快速转发数据,不与Ce直接相连。在整个mpLSVpn中,p、pe设备需要支持mpLS的基本功能,Ce设备不必支持mpLS。
pe是mpLSVpn网络的关键设备,根据pe路由器是否参与客户的路由,mpLSVpn分成Layer3mpLSVpn和Layer2mpLSVpn。其中Layer3mpLSVpn遵循RFC2547BiS标准,使用mBGp在pe路由器之间分发路由信息,使用mpLS技术在Vpn站点之间传送数据,因而又称为BGp/mpLSVpn。在mpLSVpn网络中,对Vpn的所有处理都发生在pe路由器上,为此,pe路由器上起用了Vpnv4地址族,引入了RD(RouteDistinguisher)和Rt(Routetarget)等属性。RD具有全局惟一性,通过将8byte的RD作为ipv4地址前缀的扩展,使不惟一的ipv4地址转化为惟一的Vpnv4地址。Vpnv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。Rt使用了BGp中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个Rt只能被一个Vpn使用,它分成importRt和exportRt,分别用于路由信息的导入和导出策略。在pe路由器上针对每个site都创建了一个虚拟路由转发表VRF(VpnRouting&Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有importRt和exportRt属性。通过对importRt和exportRt的合理配置,运营商可以构建不同拓扑类型的Vpn,如重叠式Vpn和Hub-and-spokeVpn。
整个mpLSVpn体系结构可以分成控制面和数据面,控制面定义了LSp的建立和Vpn路由信息的分发过程,数据面则定义了Vpn数据的转发过程。在控制层面,p路由器并不参与Vpn路由信息的交互,客户路由器是通过Ce和pe路由器之间、pe路由器之间的路由协议交互知道属于某个Vpn的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDp,它在整个mpLS网络中进行标签的分发,形成数据转发的逻辑通道LSp。在数据转发层面,mpLSVpn网络中传输的Vpn业务数据采用外标签(又称隧道标签)和内标签(又称Vpn标签)两层标签栈结构。当一个Vpn业务分组由Ce路由器发给入口pe路由器后,pe路由器查找该子接口对应的VRF表,从VRF表中得到Vpn标签、初始外层标签以及到出口pe路由器的输出接口。当Vpn分组被打上两层标签之后,就通过pe输出接口转发出去,然后在mpLS骨干网中沿着LSp被逐级转发。在出口pe之前的最后一个p路由器上,外层标签被弹出,p路由器将只含有Vpn标签的分组转发给出口pe路由器。出口pe路由器根据内层标签查找对应的输出接口,在弹出Vpn标签后通过该接口将Vpn分组发送给正确的Ce路由器,从而实现了整个数据转发过程。
2骨干迁移的三个关键问题
由于DCn网络建设时间比较久,网络结构比较复杂,如何从全部使用ip环境的DCn过渡到全部使用mpLSVpn环境的DCn成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于mpLSVpn技术是对全省DCn网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现mpLSVpn改造的首要问题。
过渡期间最应该考虑的关键三个问题是:
1)在ip环境下,各域间路由的互通问题。实现方法是先将组成DCn的各个ip网络单元以地市为单位逐个改造为mpLSVpn网络单元,然后逐个与省公司建立mpBGp邻居实现全网mpLSVpn化。
2)受控互访的实现,即做到市公司在同一Vpn区域内部互相之间不可见;市公司在同一Vpn区域内部可以访问省公司;市公司访问处于不同Vpn区域的省公司业务。方案设计中采用HUB-SpoKe方式和对pe、Ce层面实施控制来实现。
3)Vpn划分与ip地址整理,DCn网络建设前期并未考虑各个应用系统的mpLSVpn划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。
3DCn网络改造升级的设计
DCn网络改造解决方案是融合mpLS、Vpn和QoS技术的统一解决方案。方案采用mpLS作为承载数据传输的新协议,使用eiGRp作为主干iGp协议,mpLSVpn路由使用mp-iBGp以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。
mpLS需要建立在iGp路由的基础上,iGp协议对mpLS的主要作用就是保证mpLS邻居之间的可达性和mBGp邻居之间的可达性,省骨干网使用的eiGRp协议,地市网络根据自己网络环境使用eiGRp或oSpF协议。所有协议在省网和市网之间重分发。整个网络iGp协议互通。根据整体方案,各pe-Ce路由协议保持原oSpF动态路由协议,在pe设备将oSpF路由重分发至mp-BGp。
各业务Vpn互访通过防火墙来实现。由于目前将DCn全网业务基本划分为mS、BS、oS和otHeR这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠Vpn的方式,一方面增加了维护的复杂度,另一方面违背了建设mpLSVpn的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠Vpn配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过mpLS链路上连互访。通过在防火墙上配置严格的安全策略,对各Vpn之间流量进行过滤,这样隔离的各mpLSVpn之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠Vpn配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过mpLS链路上连互访。
将各业务Vpn为HUB-SpoKe模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同Vpn域中。在防火墙上根据各Vpn业务的访问需求作相应的访问控制,各Vpn业务之间通过防火墙进行访问。
4mpLSVpn对DCn网络的重要意义
由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCn网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,mpLS升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCn网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,Vpn颗粒将趋向细化,Vpn拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及Vpn支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:DCn网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCn网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:DCn网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证DCn网络安全运行的前提下,有步骤、分阶段实施mpLS改造,并按照规划设计应用Rt策略实现各系统互访受控与隔离。目前,改造后的DCn网络运行状况良好。
在实现mpLSVpn后,受控互访则变得相对轻松,仅仅需要在各个mpLSVpn路由环境之间的数据通道上部署防火墙即可对各Vpn间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用mpLSVpn隔离各类业务系统,骨干以现有DCn骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的Vpn业务接入机制。
5结束语
mpLSVpn网络改造的实现,极大的提高的DCn网络的安全性,为前台营业、办公oa、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1]范亚芹,张丽翠,宋维刚.可提供mpLSVpn网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).
公司网络安全需求篇5
关键词:石油通信;局域网;ip网络
abstract:intheeraofdigitaloilfielddevelopment,validcompanyinformationsecuritymanagementisveryimportanttoenterprise'sgoodoperation,butintheconcreteimplementationprocess,theenterprisesecuritymanagementneedsfromprevioussecuritypolicyspecificinformationsecuritysolutioninthemiddleoftheformulation,choiceandimplementationandsubsequentfollowupofthesecurityservice,attachimportancetoitinalldirections,andthoughtfulconsideration.itinvolveshowtoimplementsafetymanagementintheapplicationofenterprisesystem,atthesametimeinvolveshowthesecurityvendorprovidestheomni-directionalsecurityconsultingandfollow-upsecurityservice,etc.
Keywords:oilcommunication;Localareanetwork(Lan);ipnetwork
中图分类号:te31文献标识码:a
一、油田企业联网需求分析
(一)概述
企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下一步就需要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。
二、关于油田企业局域网总体设计
(一)网络规划
针对我公司的网络需求及目前的网络现状,在进行网络设计改造时要综合考虑以下的因素,从而建设一个安全、可靠、功能丰富的网络系统:
广域网络
数据中心及备份中心
语音/视频
网络外联
网络安全
网络管理
(二)广域网络
在广域网络设计时,要考虑目前可用的网络资源以及网络拓扑结构。根据目前的网络资源以及地理分布情况,综合考虑网络资源的费用、网上业务情况,以及今后的发展趋势。广域网络采用目前的树型结构,但要扩展网络资源的带宽,使之满足目前的数据、语音业务、客户服务中心业务数据集中业务的需求;同时为了满足将来的视频等其他应用对目前的网络设备应考虑一定的扩展性。
(三)数据中心及备份中心
随着数据的集中,公司的数据中心愈来愈重要,要求我们在设计时要考虑到集中的或分散的数据中心的情况;但无论如何,数据中心都要保证数据的安全可靠、数据的高速访问;对数据中心来说,它是整个网络系统的核心,要保证其他系统,包括广域网系统、网管中心系统、外联系统的授权用户的高速的访问。
对于目前的情况,数据分散到各个省公司,要求对各个省公司都设计相应的数据中心,由于全公司的数据都会集中备份到总公司,所以总公司的数据中心尤其重要,它是其他所有省公司的备份中心。
(四)语音/视频
在满足业务运行需要并考虑运行维护成本的前提下,可以考虑语音及视频的应用。
提供数据、语音和视频的集成是整个网络建设的重要因素,由于技术的进步,在传统的数据网络上提供语音和视频应用也成为可行而普遍的趋势。提供数据、语音和视频的集成一方面可以降低语音通讯的成本,满足整个公司语音的需求,另一方面可以与客户服务中心结合在一起,提供一个以客户为中心的综合服务系统。
(五)网络安全
对于我公司而言,网络系统的安全是最重要的因素,应该引起格外的重视;网络的安全应该包括认证、授权和审计(aaa)。其中认证包括路由认证、拨号备份认证等;授权包括权限控制、访问控制等;审计包括对网络系统的主动扫描和被动记录等。
(六)网络总体设计
公司业务网络系统的核心就是广域网络骨干的建设,如何对现有网络进行改造以及对将来的网络结构进行规划是当前网络改造的首要任务。
当今网络的发展远远超出了单纯追求基本连通历史阶段。我们在网络连通基础上需要更高要求的网络服务内容,它应包括:(多业务服务)---数据/图象/话音、QoS(网络服务质量)、(安全)、(高可靠性)、(可扩展性)、(可管理性)。我们必须要有清晰的网络总体设计思路及原则,遵循总体设计、分步实施的原则,用新一代的网络设计思想、最成熟的网络技术对公司网络进行总体设计。
(七)网络资源以及网络骨干技术的选择
1、网络骨干技术介绍
选择合理的网络主干技术对于一个核心网络来说十分重要,它关系到网络的服务品质和可持续发展的特性。网络主干包括主干网设备之间及其与汇聚点核心设备之间的连接,宽带ip网络的主干必须选用相应的宽带主干技术。目前,可供选择的宽带技术包括以下几种:
传统电信资源。包括DS0(64Kbps),nX64Kbps,pCmG.703/G.704(2mbps)、等
异步转移模式(atm技术)。采用信元传输和交换技术,减少处理时延,保障服务质量,使其端口可以支持从e1(2mbps)到Stm-1(155mbps)、Stm-4(622mbps)、Stm-16(2.5Gbps)、Stm-64(10Gbps)的传输速率。
SDH技术(或poS技术)。采用高速光纤传输,以点对点方式提供从Stm1到Stm64甚至更高的传输速率。
2、网络骨干技术的选择
公司租用电信运营商的SDH(155mbps)或一条e1/FR(2mbps)构成一级网络骨干,对于接入层与骨干层以及基础层与接入层的的连接,可以租用atm或传统电信资源(pCm2mbps,DS0,nX64Kbps,FR等)。
一级网和二级网由于数据流量大,承载的业务影响面大,应该申请atm/DDn/FR作为目前SDH的备份线路,两条线路可以进行负载均衡、互为备份;三级网由于数据量较小,建议考虑采用拨号备份(pStn/iSDn等)作为主线路的备份线路,只有当主线路发生故障时或者主线路负载超过设定范围是,拨号备份线路才启用,即保证了网络的可靠性,又节省一定的费用。
(八)网络设备
三类二级节点配备的路由器是不同的,主要是配备的数量以及模块不同。
一类二级节点配备两台中端路由器,分别连接两条骨干线路,同时其中一台通过拨号备份线路与相应的一级节点连接;两台路由器分别配备一些向下连接的模块,与下属的三级节点连接,其中一台同时为下属三级节点提供拨号备份连接。
二类二级节点配备两台中端路由器,但与一级节点有一条骨干线路和一条拨号备份线路连接;两台路由器可以分工协作,也可以一台是另一台的冷备份;在前一种情况下,一台路由器向上连接,另一台路由器向下连接,或者把所有的连接分担到两台路由器上,在后一种情况下,其中一台负责所有(包括向上和向下)的连接,另一全作为冷备份使用。
三类节点配备一台中端路由器,申请一条骨干线路和一条拨号备份线路。该路由器负责整个节点的上连和下连的任务;可以配备相应的同步模块和异步模块。
(九)路由器基本配置要求如下:
两个RJ-45100mbps端口
双电源配置(可选)
支持pStn/iSDn端口
(十)支持标准协议如下:
网络协议(tCp/ip等)
广域网协议(ppp;FR;atm;SDLC等)
支持标准的动态路由协议(BGp、oSpF)
multicast
支持基于策略的路由
QoS管理机制
三、数据中心设计
(一)服务接入局域网
服务接入局域网主要提供服务器群局域网与总公司其他网络的可靠连接,是整个数据中心的核心设备,要求提供最大的性能、安全性、可靠性和扩展性能。配置两台高端局域网交换机,配上相关的千兆网或10/100m局域网模块连接广域骨干网、语音系统、视频系统、网络管理中心、外联系统、楼内用户、客户服务中心系统;并且通过千兆以太网透过防火墙与服务器群(ServerFarm)局域网相连。
(二)安全保护区
为保护整个公司的服务器资源,在服务接入区和服务器群之间安置了安全保护区,该区提供服务器与其他部分的安全隔离作用;在该区配备高性能防火墙来隔离服务器与服务接入区。两台防火墙为主动/备份方式工作,当主防火墙发生故障时,备份防火墙自动工作,保证整个网络的高效运行。
四.网络安全及维护系统
(一)方案设计
根据我公司的网络状况,在与internet/extranet等外网的接入、pStn/iSDn的拨号接入、局域网接入控制等几个方面的安全问题是需要着重考虑的,此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面针对这几个方面做相应的设计。
(二)internet/extranet接入的安全设计
由于内外网接入点是公司的企业内部网络与internet/extranet外部网络的连接处,该点承受着多种可能的对内部网络的攻击威胁,但由于业务的需要,又必须对外部网络开通部分的网络服务,针对这种情况,要求采用目前常用的设计方法,采用防火墙这一安全隔离设备,将网络隔离为三个安全等级不同的区域,即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。
(三)对网络设备和服务的保护
包括:
*在所有路由器上设置控制台口令;
*在所有路由器上设置特权用户口令;
*在所有路由器上设置远程登录口令;
*在所有路由器上设置分级用户名和口令;
*在所有路由器上设置日志记录,建立单独日志服务器;
*在拨号接入路由器上为远程拨号访问设置不同的用户和口令,而且要求CHap验证;
*所有口令加密;
*在所有路由器上只允许从网管远程登录到网络设备,而且及各分公司不能越级登录;
这些规则最好在连接局域网的三层交换机上进行,如果交换机不支持访问控制,可以在路由器上实现。
参考文献:
《通信技术》2010年第9期
《石油科技》2012年第11期
《ip技术在油田通信网中的应用》
公司网络安全需求篇6
关键词:网络保险;发展现状;发展前景
0引言
网络保险是指保险公司(或保险中介机构)以信息技术为基础,以网络为交易平台,实现保险全过程的网络化,全过程包括投保、核保、理赔、给付或赔偿等过程。
投保过程包括网络了解保险产品;选择适合险种,根据提示输入基本信息,选择相应投保建议书,或者通过经纪人(网络)进行保险咨询;填写电子保单(是指传统纸质合同用电子数据文件来代替,投保人通过保险公司或保险中介机构提供的个人网络服务平台来查阅并核实保单内容);通过网银转账系统或信用卡、支付宝、微信支付等方式支付保险费;保险公司经核保后同意承保,并向客户确认签订合同;对整个合同的签订、划交保费过程查询、保单变更、理赔报案、理赔情况查询、验真、续保等业务,投保后客户可以通过网上售后服务系统实现。
1网络保险具有如下特点
①替代了保险销售人员在业务流程上的作用。
从业务流程角度来说,传统渠道的业务流程为:销售人员向投保人进行宣传介绍投保人产生投保意向联系销售人员销售人员进行一系列的处理投保结束。
与传统保险不同,网络保险是投保人直接通过网络保险系统进行所有业务,不用经手销售人员就能完成投保。
传统营销采用“人海战术”,找顾客上门,绝大多数人群由于对陌生人的戒备心理,会对这种登门销售比较排斥,这会导致保险公司失去部分潜在的客户。保险公司通过网络营销手段,能够在很大程度上节省管理费用、办公场地费用。
如上述由于网络保险省去了许多中间环节,保险公司运营成本的下降将会促使保险产品价格有所降低,客户可以获得比其他销售渠道低15%左右的价格,这种保费的降低,肯定会刺激客户对保险类产品的各种需求,使得消费者的风险可以更好的得到转移,得到应有的保障。
②可以更好的将潜在的保险需求转换为真实的保险消费。
据2012年6月底的政府相关统计报告[1]调查表明,网络购物用户规模达到2.1亿,网民使用率提升至39.0%,较2011年底用户增长8.2%。
信息化时代,保险行业可以充分使用互联网平台,更深层次研究网络群体中的潜在消费群体的投保倾向和保险需求,设计出符合网络消费群体的保险相关产品,将网络平台中的潜在保险需求,转换为真实的保险消费。
③符合当前消费者追求方便、快捷的消费心理。
现代社会节奏明显加快,大部分消费者在消费时追求方便和快捷,网络保险超越空间、超越时间限制的服务符合消费者的这种心理。
消费者可以不去保险公司营业柜台,可以24小时随时随地方便地上网,登陆保险公司的网络保险销售平台,只用几分钟就可以用网络平成保险产品交易。
为了更好地满足消费者的这种心理,网络保险产品的条款项目应该力求更加的通俗化,让普通人群能够轻易理解,以节省消费者的理解时间。
2中国网络保险的发展现状分析
根据2010年全国保险业标准化技术委员会的保险公司摸底调查显示,在59家保险公司之中,27家已建立网络保险平台,占保险公司的46%;13家正在筹建,占22%;19家还没有建立,占32%。参加摸底调查的各公司,在网络保险平台建设上的投入同比增长83%,为5961万元。这些数据表明网络保险时代的来临,网络保险既是信息经济时代全球化、网络化的产物,也是保险业发展内在要求。
以往的网络销售产品包括家财险、车险、企财险、货运险、责任险、健康险、寿险、意外伤害险等,其中最高的是意外伤害险标准化产品占约为30%。还有的保险公司与一些互联网巨头合作推出了一系列与以往不同的保险产品。
2.1我国发展网络保险的优势
①我国庞大的网络客户群体是发展网络保险的坚实后盾。
我国的网络正在迅速的发展,网上支付规模也在以迅猛之势不断地增长,庞大的互联网市场为我国网络保险的增长提供了坚实后盾,这预示着网络保险商机无限。网民的高速增长、网上购物的强烈需求,为我国网络保险提供巨大的发展空间,推动网络保险的快速发展。
②网络保险意识的不断增强
美国著名社会心理学家-亚伯林罕・马斯洛在他的需求层次理论中指出,安全需要、生理需要、尊重的需要、归属与爱的需要、自我实现的需要是人类需求的五个层次。其中,自我实现的需要标明,对于有自行网上购物能力的人更趋向于自己思考、自己判断、自己选择,不会盲目听从保险产品推销人员的一番话,保险推销人员甚至会引起消费者的反感。所以会逐渐更加趋向于网络保险。
2.2网络保险发展中面临的问题
①网络保险中存在的风险。
网络保险的交易是通过网络实现,所以发展网络保险的过程中不可避免的与互联网安全问题的风险同在。虽然考虑安全问题,网络保险系统设计过程中考虑多层次安全系统,但随着包括Hacker技术在内的其他入侵技术的提高,客户信息的保密性与保险产品交易中的安全性同样面临着一定的风险。对购买保险的消费者而言,产品是否满足自己的风险保障需求,能否如预期那样快捷理赔,保险产品的简便和客观因素都不能在产品购买之时得到确认,此为产品风险。
此外,还有网络支付的安全性问题、网络交易的有效性问题这也是购买保险的消费者们担心的,是属于交易风险。产品风险和交易风险的叠加,使得网络保险不确定性也随之增大,由于上述两种风险,厌恶风险的消费者拒绝在网上进行交易。
②部分消费者对电子合同缺乏信任。
进入网络信息化时代之前的传统保险,一直以保险人为核心推销产品,传统保险体系的营销机制在推动保险业的发展中起到十分重要的作用。部分消费者习惯了这种面对面交流、面对面签订合同的模式。他们面对着电脑屏幕利用网络这个虚拟的东西,只能看而不能摸的,签订合同会使他们心理有所顾忌,缺乏安全感,无法产生信任,怀疑电子保单的合法性。
③部分消费者保险知识匮乏。
随着我国国民生活水平的不断提高,许多人对保险的意识逐步增强,但是公众的保险意识整体水平还是不高。部分消费者保险知识匮乏,容易上当受骗。
2.3解决网络保险问题的对策
①建立有效风险评估体系,降低网络保险风险。
主要包括:制定并实施网络系统安全规范;预测与防范系统安全隐患;建立与完善系统安全机制;测定与检查系统安全程度;稽查与监督系统安全。要适应实际千变万化的情况,需要建立动态的网络安全保障系统,并升级安全保障系统,从而防范网络中存在的安全风险。
网络保险立法应包括:电子数据认证、网上交易与支付、电子合同、在线争议解决、网上知识产权、电子商务认证等,针对网络保险的特点,还需要电子保险合同管理办法、反不正当竞争办法等管理办法,这就需要保监会、保险行业协会等相应机构制定有关网络保险的管理办法。
②培养消费者对电子合同的认识。
根据《合同法》第十一条规定,书面形式是指合同书、信件和数据电文(包括传真、电传、电报、用于数据交换的eDmS、电子邮件)等,有形表现所载内容的形式。《电子签名法》之中(第三条)规定,民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
公安部门及司法部门要加大对于违法行为的处罚力度,抬高涉及违反法律法规的企业及个人的违法成本。规范网络保险市场相关制度:对网络保险交易平台、网络保险专业机构、网络保险个人实行许可制度;开展保险务必须经过保监会或授权机构的许可的市场准入制度;对保险公司实行登记备案制度;所有经营网络保险的组织或个人务必要备案,名单让社会广大群众在因特网上免费查询,实现政府管理、行业自律和社会监督相结合的模式。
③提高消费者对网络保险的认识
对于消费者应加强对保险知识的宣传,加强对网络保险知识的宣传。消费者可以通过保监会的网站查看销售网络保险产品的单位名称等信息、确认中介机构资质;拨打保单中的客服电话,确认保单真假,以维护自身的合法权益。消费者还应懂得在不小心购买到网络假保单时,应该及时向保险监管部门、当地公安部门进行报案,不能因为保费便宜或嫌麻烦而忍气吞声。
3我国网络保险发展前景预测
信息化社会的不断提高物质文明和精神文明,网络保险会被越来越多的国民所认识,被越来越多的消费者所接受,保险的网络营销渠道逐渐成为人们购买保险的首选渠道。
据北京华凯智博的中国保险市场调研报告显示,城市居民对保险产品销售渠道的偏好上,从一年前的3%把“电话/网络”购买作为首选,如今已升至8%,是上升幅度最大的销售渠道。
据权威机构预测,到2020年网络营销渠道市场份额占比将达中国保险业的20%,未来10年,中国至少有千亿元的市场规模等待挖掘。
真正意义上的网络保险是指保险公司通过网络推出的保险产品可以满足不同人群的不同需求,消费者可以不用再担心交易过程中或交易之后会出现任何风险会出现风险的,已经完善的网络保险。
①应该认识到在短期之内网路保险会与传统保险共存这一点,将网络保险与营业点销售、电话销售有机结合起来,使得它们扬长避短,各自发挥自己的优势,为企业带来最大的利益。应引导从事保险业务的单位优化渠道结构,合理配置资源,巩固渠道,提升中介品质,探索和规范电话销售、网络销售等新型渠道,逐步形成不同渠道相互补充、共同发展的格局。
②保险商应将企业的最终目标放在实现完善的网络保险上。网络商务平台作为保险产品消费者与保险单位交互的有效渠道,保险商提供透明、即时化信息,包括:保险机构、保险仲裁商、保险产品和服务的信息;针对投保人提供账户(保单)管理功能;不同保险公司在相同条件下同种保险产品的报价对比等。在技术安全方面,采取各种一流的安全措施保障系统和资料的安全以开展在线保险。采用Ca认证技术有效解决互联网交易存在的非法篡改、非法访问、抵赖、拒绝服务等安全问题。
③尽快创建维护电子商务发展安全运行的法律保障机制,特别是保险监管部门,应制定出相应的法律法规对网上保险业务进行规范管理,营造出一个有序的良好的竞争环境,尽快使中国网络保险走向理性化和有序化。
4对我国发展网络保险的建议
大部分学校都会组织学生参加商业保险,商业投保主要业务为学生团体平安险、重大疾病险及医疗保险。保险公司作为盈利机构,它的主要目的是盈利,并非保障,因此存在缴费高,保障低,收费容易,赔付难的现象。网络保险可以充分发挥自己的优势,争取到这批学生资源。由于网络保险的便捷性,大学生也会更趋向于这种保险。保险公司在发挥其优势的同时,应该致力于制定出更符合大学生自身特点的保险制度。
如果网络保险能够充分利用学生资源,这无疑是一种双赢模式,学生可以方便快捷的享受到保险的服务,保险公司则能够保障更多的顾客,获取更多的利益。
与互联网界的强手合作。上面提及的阳光保险公司与淘宝网合作推出的航空延误险之所以取得如此好的成绩,既是阳光保险针对电子商务人群量身设计的成果,淘宝网的强大的顾客群的功劳更是功不可没。淘宝网的电子商务平台,旗下大量客户不但可以成为阳光保险公司保险产品的购买者,其信用水平和交易记录亦可成为阳光保险新险种的载体,淘宝网广泛的个人用户基础、媒体资源和营销渠道,为未来阳光保险的发展和互联网金融的推广铺平了道路。其他保险公司在发展网络保险时,也充分可以吸取上述阳光保险的经验及手段,寻求与互联网界强手的合作,共同赢利,各取所需。
互联网界强手拥有广泛的个人用户基础、媒体资源和营销渠道,而这正是保险公司实施网络保险最需要的资源,保险公司可以充分利用这些资源,确保更多的顾客,推出最适合消费者的保险产品,促进保险公司飞跃的发展。
参考文献:
[1]中国互联网络信息调查中心(CnniC)调查报告.
[2]方华芬.浅谈网络保险在中国的发展[J].2008(2):251-252.
[3]冯一萌.网络保险生意实验[n].it经理世界,2012(340).
[4]王薇.三股力量构筑网络保险格局[n].中国保险报,2011(5):1-2.
[5]吕杰.促进我国网络保险发展的对策[J].经营与管理,2010(10):27-28.
[6]王秀珍.中国网络保险营销发展浅析[J].中国市场,2011(621):77-78.
[7]黄业勇.网络保险产品开发研究[J].金融电子化,2008:53-55.
公司网络安全需求篇7
1.1计算机网络系统现状
瓦力公司的网络系统现状是,全公司约有台式电脑、笔记本电脑共300台。无核心交换机、硬件防火墙,通过Cisco2800路由器做nat端口复用地址转换来访问因特网,所有计算机在同一广播域内,楼宇间通过100m双绞线连接,楼宇至各办公室终端计算机通过交换机级联连接。
1.2网络系统需求分析
瓦力公司现在有计算机约220台,管理人员实现了一人一台的电脑办公环境。目前网络系统存在的问题如下:1)信息化的系统增加,需要更大带宽,更稳定的网络环境。随着企业发展,网络应用越来越多,对网络的稳定性和带宽有了更高的要求。2)所有计算机处于同一广播域,网络风暴导致局域网极不稳定。3)楼宇间的百兆双绞线因距离较长,信号衰减严重,且百兆的核心速度已严重影响公司办公效率,成为信息化的瓶颈。4)公司与因特网之间未架设防火墙,随时有中病毒或黑客攻击的安全隐患。综上所述,公司网络现状与公司的规模及其他软硬件设施不相匹配,即不能适应企业现代化管理的要求,也不能满足企业日益膨胀的信息需求。总结起来,瓦力公司对局域网的需求主要有:1)办公自动化;一卡通系统;pDm系统、eRp系统;2)划分VLan,创建广播域,减少广播风暴,释放带宽;3)改造楼宇间网络,更换不稳定的百兆双绞线为更稳定的千兆光纤;4)规范因特网访问,架设防火墙,减少网络安全隐患。
2系统设计实现目标
针对企业实际情况和应用需求,此解决方案应达到如下目标:1)采用先进的网络设备,通过结构化布线、模块化设计,建立一个高速、可靠、先进的网络系统。2)网络主干采用千兆位以太网络,光缆铺设厂区主要建筑。普遍100m交换到桌面的高性能连接,充分满足各种系统对高带宽的要求。3)建立高效的网络传输平台,实现pDm、视频监控等高速数据的传输和应用。4)建立企业网站(可分为对内、对外两个),为外界了解企业提供一个窗口,促进企业内外及企业内部的信息交流。5)其余可提供服务功能有:(l)e-mail(电子邮件);(2)Ftp(文件传输服务);(3)DnS(域名解析);(4)teLnet(远程登录)。
3系统总体方案设计
3.1网络拓扑结构设计
瓦力公司局域网的拓扑结构由核心层、分布层与用户层组成,其中由安装中心机房的三层交换机组成局域网的核心层,由安装在各办公楼的交换机组成网络的分布层与用户层。
3.2VLan划分及配置
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费宝贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLan相当于oSi参考模型的第二层,能够将广播风暴控制在一个VLan内部。划分VLan后,由于广播域缩小,网络中广播包消耗带宽所占的比例降低,网络的性能得到显著的提高。不同的VLan之间的数据传输是通过第三层的路由来实现的。可以通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLan和第三层交换结合使用能够为网络提供较好的安全保障。根据该公司的网络拓扑结构及建筑物的分布情况,采用静态实现的方式。静态实现是将交换机端口分配给某一个VLan(也称为基于端口的划分),这是一种经常使用的配置方式,比较容易实现和监视,而且安全。在地址分配的基础上进行划分,基本上一个子网划为一个VLan,如表1中所示,还可根据需要扩充或修改。
3.3网络管理系统设计
网络平台:windows2008Server中文版,客户端用windows7professional。网络操作系统选择windows2008Server。因为,windowsServer2008通过加强操作系统和保护网络环境提高了安全性。通过加快it系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,windowsServer2008还为it专业人员提供了灵活性。windowsServer2008为任何组织的服务器和网络基础结构奠定了最好的基础,是较为理想的应用平台。
3.4网络系统安全设计
3.4.1访问控制及内外网的隔离
配备防火墙:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。可以确保网络安全,防止外部入侵。防火墙采用JuniperSRX220H。
3.4.2内部网不同网络安全域的隔离及访问控制
利用VLan技术和子网划分来实现对内部子网的物理隔离。通过交换机上划分VLan可以将整个网络划分成几个不同的广播域,实现一个网段与另一个网段的隔离,限制局部网络安全问题对全局网络造成的影响。采用防火墙,将用户区和服务器区隔离,防止不法用户对服务器的入侵攻击及病毒传播。
3.4.3上网行为管理
在出口网关出配置上网行为管理设备,通过ip/maC认证方式对所有电脑终端进行上网行为管理,限制访问视频、游戏、股票等网站,并限制p2p下载,保证关键业务部门的网络带宽。
3.4.4网络防病毒
采用免费的金山毒霸企业版对所有终端进行部署,便于集中管控。
4总结
公司网络安全需求篇8
关键词:局域网;广域网;网络建设和改造;拓扑结构;VLan
中图分类号:tU712
文献标识码:B
文章编号:1008-0422(2013)06-0113-02
1概述
设计行业信息化是世界经济和社会发展的趋势。近十年来设计行业随着国家经济的发展、业务规模及人员规模的快速增长,随之产生的管理需求不断增加,而依靠传统管理模式已无法满足需求。在“十二五”期间,国内建筑行业将加强信息基础设施建设,提高企业信息系统安全水平;同时项目管理软件等应用系统的普及率不断提高,逐步建立企业级的共享网络以及完善相关的信息化标准成了设计院必备的信息化要求。本文以上海浦东建筑设计研究院有限公司为案例,探讨设计院网络规划及管理方法。
上海浦东建筑设计研究院有限公司现已成为集建筑、市政、园林设计三位一体的综合设计企业。公司设有十个设计部门,六个行政部门。由于公司业务需要及公司发展需求,目前在全国各地设有八个分公司及两个办事处。
根据企业信息化建设目标和总体规划,原有的网络架构不能满足企业管理和信息化发展现状,例如单一VLan的地址已经不够分配,缺乏有效的安全策略,主干网带宽只有百兆,随着设计专业软件的网络需求增加,越来越多的业务需要使用互联网络,因此需进行全面的网络规划和改造。
2现状需求分析
由于现有网络结构为单一的树状结构,容易出现单点故障而引起所有网络节点的正常运行;层次结构不清晰,导致无法集中管理设备,造成维护极为不便;设备较老、品牌较杂、设备兼容性较差,网络传输较慢,存在数据丢包现象;使用了大量的专业设计软件网络版,客户端和服务端的访问量与日俱增;设备无法控制网络流量,客户端访问互联网非常拥挤;无法有效避免aRp等局域网攻击;客户端操作系统补丁安装不完全,杀毒软件安装不统一。
所以整体改造分为两个主要方面:
(1)内部网络设备方面的改造:将现有的内网互联百兆主干网升级为千兆传输,在网络出口核心连接广域网处升级路由防火墙,更换现有的核心、楼层交换设备,按部门划分VLan,实现流量监控。
(2)广域网及系统服务方面的改造:构建Vpn实现与分公司互通,部署网络行为管理,系统补丁分发,广域网带宽升级,建立企业统一通信邮箱,建立数据备份机制等。
3规划基本原则
基于对以上需求的深入理解,网络建设应遵循以下基本原则。
3.1网络设备应首先满足网络中数据交换的要求,网络主干的通讯链路带宽能够满足应用对网络的性能要求。
通常网络的负载流量主要是从边缘设备到核心的数据交换。改善办公网络整体数据交换性能,应该是首先扩充主干交换机的交换性能,增加边缘设备到核心数据的通讯带宽,以改善整个网络的瓶颈,使得应用软件的性能和效率得到提高。除了考虑满足网络规模所要求的主干设备数据交换处理能力,以及边缘设备到核心的链路带宽外,对楼层交换机也有较高的性能要求。
网络设备的选择,尤其是网络核心设备,应该选择可以配置冗余部件,可以冗余备份,设备损坏部件的更换可以进行在线操作,这样可以使影响的时间降低到最小,以保证网络可以在任何时间、任何地点提供信息访问服务。与此同时,网络设备还要求采用主流技术、开放的标准协议,能够支持不同厂家、不同系列产品之间的相互无缝连接与通讯,减少设备互连的兼容问题以及网络维护的费用。
在满足现有规模的网络用户需求的同时,考虑到业务发展、规模的扩大,主干设备的选择应该具备强大的背板带宽,足够的负载容量。对于交换机来说,核心交换引擎应该在可以满足最大配置下,无阻塞地进行端口数据包交换,模块的扩充不影响交换性能。
3.2通过将网络划分为虚拟网络VLan网段,可以强化网络管理和网络安全,控制不必要的数据广播。
根据网络中工作组管理功能的划分可以突破共享网络中的地理位置限制,大大提高网络规划和重组的管理功能。在同一个VLan中客户端不论它们实际与哪个交换机连接,它们之间的通讯象在独立的交换机上一样。同一个VLan中的广播只有VLan中的成员才能听到,而不会传输到其他的VLan中去。同时,若没有路由的话,不同VLan之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。用户可以自由地在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLan内其他用户自如通讯。
因此,划分VLan既可以增加网络的灵活性,也可以有效地阻止VLan内的大量非法广播,还能隔离VLan之间的通讯,控制资源的访问权限,提高网络的安全性。同时在网络设备上应该可以进行基于协议、基于maC地址、基于端口、基于ip地址的包过滤控制功能。
3.3有效控制网络的访问。
合理的网络安全控制可以使应用环境中的信息资源得到有效保护。在进行安全方案设计时,应考虑网络物理是否安全、网络平台是否安全、系统是否安全、应用是否安全、管理是否安全的风险,对应采取相应的安全措施。这些风险与这个局域网的结构、系统应用、网络服务器等因素密切相关。
关键的应用服务器、主干网络设备,应该只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。使网络可以任意连接,又可以控制第二层、第三层控制网络的访问。同时,对连接用户身份的认证也是保障网络安全要考虑的重要内容。
4网络改造规划设计
4.1网络拓扑结构(图1)
整个网络安全设计分成内部网络和外部网络,通过一个防火墙隔离开来。防火墙上设置入侵监测和DoS攻击防护等安全防护特性,保证内部用户透明使用网络资源和拒绝外部非法未授权用户的探测和攻击。防火墙上设置Vpn功能,用户可以通过使用ipSeC加密的安全通道连接到公司的防火墙,访问公司内部的网络。
此次网络改造主要针对网络交换机层,改造中需要更换一台核心交换机、一台汇聚交换机、若干台分布在各楼层的接入层设备。核心交换机采用H3C5500-26C,设备具有24个千兆接口和4个SFp接口;汇聚交换机采用H3C5100-16p,设备具有16个千兆接口及4个SFp接口;接入层交换机采用H3C3100-26tp-Si,具有24个10/100接口和2个千兆接口。
除了一台核心三层交换机,因核心机房还有若干应用服务器,为保证服务器高速连接到网络中,缓解核心交换机转发压力,设计通过一台5100-16p-Si交换机连接服务器组,与核心交换机的连接通过两路以太网线捆绑互联,保证设备间的高速、稳定通信。
楼层接入交换机通过布放的超五类以太网线与核心交换机连接,其连接方式同样使用两路以太网线捆绑,以使接人层交换机快速、稳定地与核心交换机互联,达到冗余备份、负载均衡。
此次改造所有以太网交换机互联均通过千兆接口。
4.2VLan规划
由于内部网络是由多个部门组成,按照应用部门之间需求进行统一通信控制,为了达到这种通信的要求,需要利用核心交换机对局域网进行VLan划分,从而达到部门之间通信的安全性。
网络结构及功能初步规划包括以下几个方面:设备连接规划(千兆链路汇聚);VLan规划(业务VLan、管理VLan);ip地址规划(设备管理ip、业务ip);DHCp服务器规划(多VLanDHCp规划);接入层设备静态maC+端口绑定(防止aRp欺骗);设备命名、管理服务、管理账号规划;内部路由设计;访问控制规划(VLan间安全、业务安全)。
公司内部部门较多,按照设计必须每个VLan对应一个网段地址,为节约地址、达到地址的唯一性、可扩展性,采用了C类地址;DHCp服务由核心交换机实现地址动态分配。
由于涉及到多VLan的环境,将会导致局域网计算机在网上邻居看不到其他VLan内的计算机,为解决设计部门间互访的要求,需将网络系统模式提升为aD模式,同时架设winS服务。
工作在网络第二层的VLan技术能将一组用户归纳到一个广播域当中,从而限制广播流量,提高带宽利用率。同时缺省情况下不同VLan之间用户是不能相互访问的。通讯通过三层设备转发,这就便于实施访问控制,提高数据的安全性。
在网络用户VLan规划方面,根据用户所属的部门,以及具体的网络应用权限来划分出设计部门,财务及管理部门,其他行政部门,机房设备等VLan。
具体VLan分配原则制定后,根据VLan内用户分布情况,在交换机上安排相应的网络端口,在不同交换机之间,如果需要交换同一VLan的数据和信息,则在交换机互联的端口上设置其工作在trunk模式下,使其能转发带有802.1Q标签的不同VLan的数据包。
4.3安全管理规划
结合实际情况,内网安全规划通过以下方法来预防及控制:按照部门或楼层等划分相应的VLan,控制广播及病毒泛滥;对设备设置管理用户及密码,并定期更改;及时更新系统补丁和防病毒软件;通过ip+maC+端口绑定未防止aRp攻击;通过利用防火墙对客户端进行访问策略限制,保证网络资源合理应用。
局域网内部路由,主要是为防火墙与内网多个网段之间建立通信,因为内网涉及多个网段,所以需要在三层交换机上面设置一条缺省路由到防火墙内网接口,同时在防火墙上需要设置一条聚合路由指向三层交换机。
内网客户端访问外网将通过在防火墙上实现访问控制。防火墙将按照实际应用需求设置开放相应的服务策略。通过核心三层交换机和防火墙,定义相关的访问控制列表及策略。
在网络设备配置中,利用三层设备的aCL(访问控制列表)功能,保护那些对网络安全要求较高的主机、服务器以及特定的网段(例如财务)。aCL是手工配置在网络设备上面的一组判断条件,对于满足条件的数据包,设备进行“转发”或者“丢弃”的处理。aCL的主要作用是实施对网段的访问控制,针对数据包的源地址和目的网络地址的组合,通过在网络设备上配置访问控制过滤功能,提供网络管理人员对网络资源进行有效安全管理的技术。
预防网络中aRp病毒攻击,通过在接入层交换机上配置静态maC+端口绑定,预先设定接入层交换机端口连接到哪台终端,以及终端网卡硬件maC地址。
在服务器上安装Serverprotect产品,可以提供集中式多重网域安装及管理、远端安全管理、实时侦测并清除病毒、自动更新及传送病毒码文件等安全措施。在客户端pC机上安装officeScan产品,通过浏览器进行所有的设定及配置,可以提供远程安装、主控台集中管理客户端扫描及清毒、对客户端进行实时监护等安全措施。
公司网络安全需求篇9
关键词:水泥厂工控;网络安全;防护建设
近年来,水泥企业信息化和智能化建设发展迅速,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。为实现企业的转型,我公司介绍了建设和网络安全管理的方法和经验。
1运行控制与网络安全建设背景
1.1信息化建设
在信息化建设初期,我公司的网络安全还不完善,在信息化和智能化建设方面,没有考虑网络管理和安全问题。但在施工过程中,网络安全越来越重要,在实施过程中发现了以下问题:比如opC协议是目前以信息为基础的通信方式,是实现建筑信息智能传输的重要通信方式,当前正在解决信息隔离问题。公司能源管理系统数据和DCS系统监控数据应通过opC通信进行隔离和控制,方便员工使用。在出差过程中快速监控直流生产和生产画面,为了监控数据和曲线,我公司采用智能集成工厂,并在手机上安装移动工厂应用程序。在保证网络安全的前提下,我们可以对公司生产的图像进行监控,但是如何管理数据通过网络在手机上移动,基于前面应用实现的方便性,没有必要的安全设施,生产系统的安全是否得到保证。目前,智能物流广泛应用于水泥行业,销售系统和生产统计等其他系统以及数据通信量最大的系统具有最高的安全性。生产原材料多个生产和办公系统缺乏主机管理和控制软件及防病毒,导致控制自动化系统各设备的USB接口,缺乏有效的移动媒体控制状态。系统维护工程师必须定期复制数据,操作人员也可以秘密使用USB接口,存在较大的网络风险。因为发生网络安全事件会导致整个工厂系统瘫痪、服务器崩溃和数据损失等严重后果。我公司从2020年开始实施网络升级改造,优化和提高了管理网络和生产网络的安全性[1-3]。
1.2信息安全保护发展
新的应用没有等级保护标准,缺乏完整的风险评估和安全监测系统,因此很难适应互联网信息安全保护的要求,为了适应新技术和新的应用发展,满足各种系统等级保护的需求威海工业控制领域的云计算,信息系统等方面提供了重要保证,以重要保证为基础,目前工业控制系统网络安全保护还不够,工业控制系统网络安全保护的必要性分析工业控制系统需要使用的许多控制系统,包括,产业生产中监控系统,数据采集系统和分布式控制系统,如pLC等应用广泛,与人们的生产和生活密切相关,本文分析了他面临的威胁。
1.3工业控制系统网络安全事件分析
2019年出现的第一个控制系统,打破离心分离器运行的产业控制器,建立了一个全新的脚本技术和适应大规模应用的完美安全保护体系。祝贺很重要。2018年,黑客利用工业恶性软件攻击乌克兰的一个变电站,导致基辅等地区的供电中断,使用软件自动运行,导致机器控制系统无法正常运行因此,电力网和其他基础设施的安全受到了严重的威胁。例如,2017年有100多个地区受到威胁软件感染的影响,中国的石油和交通受到影响,造成严重后果。
1.4工业控制系统网络应用
目前这些系统由于需求不足,各种业务系统存在潜在的安全隐患,比如远程访问保护要求,大多数工业控制和生产网络的远程维护都是由供应商提供的。渠道使用存在入侵风险。还有网络监控和审核要求,目前行业使用的各种监控软件和审计软件和基础设施还不完善,难以对数据进行有效的控制其次是操作系统漏洞管理需求;工业生产控制系统对网络的要求很高,这就给系统漏洞升级带来了难题,一旦出现安全漏洞,就会威胁到系统运行的安全;恶意代码风险防范要求,在工控系统应用中实际发生恶意代码时,存在着安装杀毒软件和安全隐患等安全防护缺失等重大风险。在分析网络安全需求的基础上,分析了网络安全对人身安全财产安全的影响,为保证网络安全运行所采取相应的措施,建立工业控制系统的网络安全保护策略,实施安全管理体系。根据安全防护工作要求设置专门的部门和人员,由安全管理人员和安全管理人员负责,组织网络安全委员会或领导小组。掌握具体工作,要求做好网络安全防护工作,并根据需要制定相应的管理制度和方法,实现岗位职责和资源的有效分工。配置足够的人力资源,确保网络安全工作的顺利进行,加强与安全供应商和企业的沟通,确保安全,及时掌握事态发展,定期进行安全检查。首先做好检查记录,编制安全检查报告,确保各项工作顺利完成,其次,建立安全管理机构,配备网络安全管理人员;安全管理体系能否有效启动,与组织机构组成、人员配置、工作要求、人力资源配置、协调指导密切相关。对实施网络安全管理等任务,建立有效的安全防护组织体系。加强安全施工管理,在安全施工管理方面,以信息系统的整个生命周期为中心实施安全管理措施,系统审核和控制安全等级等关键环节,加强安全运输和层次管理,结合网络安全威胁和风险的原因和特点,实施安全评价和安全强化,对机舱环境、漏洞和网络、实施设施安全运行维护管理等安全管理,有效变更备份及修复管理和各种安全事件。
1.5安全技术系统建设
安全通信网络设计技术体系和安全通信网络设计的重点是网络结构。利用关键网络设备和电脑设备,以不必要的结构划分安全区域,实现安全隔离。通信传输。使用密码确保通信的完整性和机密性。可以信赖的验证。对于产业控制和网络安全建设的总体规划,应该保护事务网络和管理网络的界限,并且在划分网络层次结构的同时,根据各信息系统的功能,将与管理系统有密切关系的系统划分为控制层,将系统数据并连接外部网络时系统分为电源管理系统等生产管理层,软件系统与管理系统的数据交流较少,企业管理中其他企业管理软件,如智能物流系统的数据交换较多的软件系统,在网络边界处配置入侵防御和防火墙安全产品,实时分析链接的传输数据,阻断链接隐藏的威胁。
1.6边界网络屏障设置
警戒保护并在相关控制系统中读取的所有数据通过网络屏障确保系统的安全。我公司拥有两个DCS系统,一个是加工品水泥生产线的DCS系统,另一个是起到外部控制作用的DCS系统,公司的两个工业控制系统的外部数据传输链接的出口端增加了产业防火墙。所有的管理系统都要通过防火墙来通讯外部数据。进行管理防止系统中未授权的程序和未知存储介质的运行,白色命名单系统由非系统管理者随意使用USB接口或随意复制或安装各种软件,对生产主机进行安全管理、提高设备运行能力,确保各生产业务系统的安全运行。对于安全区域边界设计内容包括警戒保护和入侵预防等,恶意代码和安全审计。对于正在运行的工业无线网络,无线ap或无线路由器由上述端口控制,例如在访问防火墙端口时,以工业防火墙为边界进行逻辑隔离,实现网络区域的有效隔离。从实施网络安全保护的角度分析了安全计算环境,安全计算环境的设计主要内容如下,首先是安全监控,由于工业控制系统的运行环境越来越复杂,新技术和新设备的广泛应用,对环境保护计算具有重要意义。利用数据库协议的分析和控制技术,可以达到阻塞危险命令、控制访问行为等目的。保护数据库运行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系统安全管理平台,对登录人员进行动态认证。并且组织安全管理人员和监理人员的授权,实行统一调配管理,其次,还要进行安全监督管理;确认相应人员的身份并监督其工作,如工作日志和门禁等进行安全管理,最后通过集中管理和数据和信息的收集和分析,了解系统运行的安全状态,并采取设施安全防护措施。
2网络运行控制及具体实施
根据上述总体安全策略的要求,我们的办公网络和管理网络被划分为VLan,VLan将办公网络和管理网络隔离开来,我们还建造了办公室和机械宿舍,建筑细节如下,公司所使用的防火墙是可以将新的入侵防御系统与网络病毒过滤和杀灭相结合。根据实际管理和控制原则,各子网在网络区域内组织地址区域,避免广播风造成公司网络整体瘫痪,并确定网络故障点。从网络层面分为办公网络和工业控制网络,在两个网络隔离边界上设置网关,在网络隔离的基础上实现数据交换。公司从管理网读取DCS系统数据,并增加双向控制体系。我们公司有两套DCS系统,一个是水泥生产线的DCS系统,另一个是为了余热发电的DCS系统。在配套系统中增加moxa工业基地的交换机,对工业行为进行审查,通过镜像流动对整个网络进行流量审计和检查,建立专用作业控制运输管理区并通过产业防火墙隔离,设置主机白名单和漏洞扫描,确保网络安全和安全,除上述建设内容外,我公司将根据融合管理体系建立公司的机械住宅和网络布局完善是实现网络化和工业控制的必要手段,具体情况如下:公司已经建立了标准控制网络,并且要求机房独立连接接地网,在静电地板下用10毫米宽的铜箔设置屏蔽网格,确保整个机房连接良好,设置传感器系统,安装恒温系统和自动灭火系统,建立完整的同环检测平台,确保机房不断供电和火灾警报,公司的两个机房采用远程自动备份系统和自动备份服务器系统和软件数据,并可在网络空间发生灾难后迅速恢复,设置网络管理软件。主要是网络扫描,远程监控和警报管理。微信警告,支持网络管理多个资产许可证,便于网络管理,公司客房内多种通信专用线和联合线的双轨连接,确保公司网络实时正常运行,防止专用线路故障导致整个公司网络的瘫痪[4-5]。
3结束语
近年来,水泥企业信息化和智能化建设发展迅速,各企业纷纷实施信息化建设竞争,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。企业在改造后,公司网络系统运行稳定,网络不会出现由于间断而影响业务和生产,也不会发生系统或服务器中毒事件,各信息系统运行稳定。防火墙和防火墙形成的保护体系运行稳定,预防外部多次的网络入侵攻击和病毒。企业的网络系统结构具有良好的扩展性和安全性,在企业实施不同的信息化项目时,可以更加便利鲜明地将新系统配置在网络结构中,提高系统的线上效率和稳定运行。
参考文献
[1]杨永恩,张国恒.水泥厂工控及网络安全防护建设[J].水泥工程,2019(03):56-59.
[2]金世尧,刘俊.工业互联网在局域网中的安全问题剖析[J].科技风,2021(13):95-96.
[3]李杺恬,郭翔宇,宁黄江,李世斌.区块链技术在工业互联网中的应用及网络安全风险分析[J].工业技术创新,2021,08(02):37-42.
[4]樊佩茹,李俊,王冲华,张雪莹,郝志强.工业互联网供应链安全发展路径研究[J].中国工程科学,2021,23(02):56-64.
公司网络安全需求篇10
【关键词】安全域场景划分营业厅安全
thesolutionofbusinessnetworkbasedonscenes-divisionsecuritydomains
LiangYangChinamobileGroupDesigninstituteCo.,Ltd.HebeiBranch.
abstractBasedonthecurrentstatusofurbanbusinessnetworkofChinamobileGroupHebeiCo.,Ltd,thisarticleanalyzesthedrawbacksandunderlyingsecurityproblemsinurbanbusinessnetwork,andthenproposesasolutionofbusinessnetworkbasedonscenes-divisionsecuritydomains,whicheffectivelyenhancesthenetworksecurity.
Keywordssecuritydomains;scenesdivision;servicehall;security
一、地市营业网络现状及分析
1.1地市营业网络现状
经过多年的业务发展和市场拓展,目前中国移动通信集团河北有限公司全省实体渠道营业网点总数达16000多个,其中自建实体渠道营业网点达1600多个,合作厅和商实体营业网点达14000多个,营业终端数达23000多个。
各地市的自建厅全部通过SDH自有传输经过mDCn上连至省业务支撑中心,但是合作厅和商实体营业厅接入省业务支撑中心的方式复杂多样,经过调研,结果如下:
承德、张家口、秦皇岛、廊坊、保定、沧州、邯郸七个地市分公司的合作厅/商厅均通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心;石家庄分公司大部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心,少部分通过公网SSLVpn方式经本地市的营业汇聚交换机接入省业务支撑中心;唐山分公司部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心,部分通过公网SSLVpn方式经本地市的营业汇聚交换机接入省业务支撑中心,还有一部分是通过租用其他通信公司企业专网Vpn方式接入本地市的营业汇聚交换机再上连至省业务支撑中心;衡水分公司部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心,部分通过公网SSLVpn方式经本地市的营业汇聚交换机接入省业务支撑中心;邢台分公司少部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心,大部分通过公网SSLVpn方式经本地市的营业汇聚交换机接入省业务支撑中心。
图1地市合作/厅营业网络现状结构图
各地市合作厅/商厅营业网络现状情况如上图所示:
另外,中国移动通信集团河北有限公司近期启动了营业厅瘦终端改造工程,目标是在未来5年内,逐步实现全省营业厅的瘦终端化,瘦终端服务器群在省业务支撑中心集中部署,因此在当前瘦终端尚未完全覆盖全省的情况下,除了上述全省十一个地市分公司的营业网络现状外,又将增加一个瘦终端的接入方式,全省的营业网络接入方式变得更加复杂。
1.2地市营业网络现状分析
从上述现状描述中可以看出,针对不同性质的营业厅,没有进行有效的安全域划分:
首先,从网络层面,通过公网SSLVpn和通过租用其他通信公司企业专网Vpn这两种方式接入省业务支撑中心的合作厅/商厅在地市汇聚接入时未采用双层异构防火墙安全措施,且所有类型的营业厅均直接接入地市营业汇聚交换机,未对不同性质的营业厅进行安全域隔离,在瘦终端尚未全面覆盖的过渡期,合作厅/厅等所使用的终端、业务访问行为等不能完全受河北移动公司管理,安全方面存在隐患,例如存在商操作员在非商接入域登录的现象,一旦出现安全问题,影响面积较大。
其次,为满足中国移动通信集团河北有限公司绿色瘦终端改造工程安全性建设的需要,要求绿色瘦终端营业厅同其他性质的营业厅进行安全隔离。
二、基于安全域场景划分的营业网络解决方案
2.1方案说明
结合中国移动通信集团河北有限公司地市分公司的营业网络现状和未来几年的瘦终端厅部署规划,针对11个地市分公司的营业网络进行基于安全域的场景划分如下:
将市公司的营业网络接入域划分为两个安全域,即内部接口子域和合作/子域;并划分出四个场景分别部署不同性质的营业厅,场景一为普通终端自建厅,场景二为瘦终端厅,场景三为具备传输条件的普通终端合作厅/商厅,场景四为不具备传输条件的普通终端合作厅/商厅。
自建营业厅,由于营业人员所使用的终端、业务访问行为等能够接受中国移动通信集团河北有限公司的管理,属于内部系统,瘦终端厅(无论是自建厅还是合作/厅)所采用的瘦终端将简化只有键盘、鼠标、显示器和外接打印机、智能卡等设备,在集中部署的服务器端采用远程桌面技术,远程桌面服务作为瘦终端的,执行营业系统的客户端应用,访问业务系统,省公司还可以根据管理需求针对营业厅的性质进行瘦终端的配置,比如自办厅可以额外配置磁盘,而合作/厅不配置磁盘等等,这种性质的营业厅能够规避营业员操作带来的安全漏洞,能够确保营业网络的安全性,因此场景一和场景二部署在市公司内部接口子域。
场景三中普通终端的合作厅/商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理,属于外部系统,因此场景三部署在市公司的合作/子域。
场景四中普通终端的合作厅/商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理,属于外部系统,由于场景四是通过公网internet方式接入至省业务支撑系统,安全风险较厅、合作厅更大,针对此类场景的营业厅需要特殊处理,将其部署在省业务支撑系统互联网接口子域。
以上基于地市分公司安全域和省业务支撑系统安全域的四种场景划分如图2所示。
2.2方案实施
市公司内部接口子域和市公司合作/子域中涉及的三个营业场景需要物理上隔离,需要部署统一汇聚接入交换机和路由器,场景三还要在交换机南向接口部署隔离防火墙,且与省业务支撑系统防火墙形成双层异构,如表1所示方案实施前后采取的安全措施。
目前中国移动通信集团河北有限公司各地市分公司现有地市营业汇聚交换机为Cisco3750三层交换机,背板带宽32Gbps,内存256m,端口为10/100m自适应以太端口,在现状情况下刚刚能满足需求;通过在石家庄瘦终端体验厅进行测试,每台瘦终端的带宽需求为56KB至300KB,而目前每台普通营业终端带宽约为300KB,因此瘦终端的引入对目前的带宽无影响;另外综合考虑业务远期发展和一些业务可能带来的复杂度提升以及节能降耗、最大化利用投资等因素的影响,地市公司的营业汇聚交换机采用较高性能的中端三层交换机,在交换机上通过划分VLan来区分隔离场景一、场景二和场景三,达到物理隔离提升安全性目的,场景三在交换机南向接口部署隔离防火墙,要求此防火墙和省业务支撑系统防火墙形成双层异构以保证安全性,另外,四个场景划分后还需要重新划分ip地址。
因为mDCn和省业务支撑系统互联网接口子域负责四类场景的接入,为保证业务的顺畅访问,要求mDCn在各地市的接入节点以及省业务支撑系统互联网接口子域接入交换机的各项性能指标不低于营业汇聚交换机的性能指标。
省业务支撑系统需要配合进行应用改造,地市公司至省公司的安全策略需要进行调整,各地市公司间互访隔离策略需要部署,以达到路由精简,降低网络节点负荷。